121851
Goto Top

OpenVPN TLS

Hallo zusammen,

habe mir mir einen OpenVPN Server aufgesetzt und der funktioniert. Habe jetzt mal in die Logdatei gesehen und einen Eintag entdeckt wo ich nicht ganz weiß was genau es bedeutet und ob das so sicher ist.

Hier der Auszug:

Wed Mar 22 21:05:51 2017 xx.xx.xx.xx:21032 TLS: Initial packet from [AF_INET]xx.xx.xx.xx:21032, sid=1b6e5ae28lla7106
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx21032 VERIFY OK: depth=1, C=DE, ST=XX L=XX O=IT, OU=P, CN=OpenVPN, name=name, emailAddress=mail@mail.org
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 VERIFY OK: depth=0, C=DE, ST=XX, L=XX, O=IT, OU=P, CN=test4, name=name, emailAddress=mail@mail.org
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication

Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 4096 bit RSA

Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 [test4] Peer Connection Initiated with [AF_INET]xx.xx.xx.xx:21032
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 MULTI: Learn: 10.8.0.6 -> test4/xx.xx.xx.xx:21032
Wed Mar 22 21:05:52 2017 test4xx.xx.xx.xx.130:21032 MULTI: primary virtual IP for test4/xx.xx.xx.xx:21032: 10.8.0.6
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 PUSH: Received control message: 'PUSH_REQUEST'
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 send_push_reply(): safe_cap=940
Wed Mar 22 21:05:52 2017 test4/xx.xx.xx.xx:21032 SENT CONTROL [test4]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option$
Wed Mar 22 21:07:58 2017 test4/xx.xx.xx.xx:21032 SIGTERM[soft,remote-exit] received, client-instance exiting

Es geht um die markierte Zeile. Was genau bedeutet der Control Channel? Und sollte das nicht besser TLS 1.2 sein?
Der Rest sollte passen.

Vielen dank für die Hilfe

Content-Key: 332923

Url: https://administrator.de/contentid/332923

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: Pedant
Pedant 24.03.2017 um 10:26:32 Uhr
Goto Top
Hallo fuddel18,

Hab gerade mal bei mir ins Log geschaut.
Dort steht auch ...Control Channel: TLSv1.2, cipher TLSv1/SSLv3...

Du schreibst:
Wed Mar 22 21:05:52 2017 xx.xx.xx.xx:21032 Control Channel...
In meinem Log fehlt das xx.xx.xx.xx:21032 ersatzlos, dort steht lediglich:
Wed Mar 22 21:05:52 2017 Control Channel...
Welche Version nutzt Du?
Bei mir ist es OpenVPN 2.3.8.

Ich habe gerade diesen Artikel gefunden:
https://oli.new-lan.de/2015/02/openvpn-crypto-tuning-tls-auth-tls-cipher ...
Ohne das alles gleich komplett verstanden und ausprobiert zu haben, klingt Absatz 5. tls-version-min, als könnte es eine Lösung sein.
In dem Zusammenhang wird dort auch auf eine neuere Version hingewiesen.

Das wäre dann im Moment: OpenVPN 2.4.1

Gruß Frank
Mitglied: 121851
121851 24.03.2017 aktualisiert um 20:41:20 Uhr
Goto Top
Hallo Frank,

Danke für deine Antworten

In meinem Log fehlt das xx.xx.xx.xx:21032 ersatzlos, dort steht lediglich:
Wed Mar 22 21:05:52 2017 Control Channel...

Die XX.XX.XX.XX sind IP Adressen die ich nicht veröffentlichen möchte. Der Rest habe ich auch dort stehen.

Welche Version nutzt Du?
Bei mir ist es OpenVPN 2.3.8.

Meine Version ist: OpenVPN 2.3.10 mit unter einem Ubuntu 16.04 LTS. Wurde über das Terminal apt-get install installiert

Ich habe gerade diesen Artikel gefunden:
https://oli.new-lan.de/2015/02/openvpn-crypto-tuning-tls-auth-tls-cipher ...
Ohne das alles gleich komplett verstanden und ausprobiert zu haben, klingt Absatz 5. tls-version-min, als könnte es eine Lösung sein.
In dem Zusammenhang wird dort auch auf eine neuere Version hingewiesen.

Diesen Artiken habe ich auch schon durch hat leider nichts gebracht. face-sad

Scheibe hier mal meine Config.

Server:
mode server
dev tun
proto udp
port 443

cipher AES-256-CBC
auth SHA256
tls-cipher DHE-RSA-AES256-SHA256
remote-cert-tls client
tls-version-min 1.2

ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/ubuntuvpn.crt
key /etc/openvpn/easy-rsa/keys/ubuntuvpn.key
dh /etc/openvpn/easy-rsa/keys/dh4096.pem
tls-auth ./easy-rsa/keys/ta.key 0
tls-server OpenVPN
reneg-sec 3600

Client:
 
dev tun
client
proto udp
cipher AES-256-CBC
auth SHA256

tls-client
tls-cipher DHE-RSA-AES256-SHA256
tls-version-min 1.2
ca ca.crt
cert test.o.pw.crt
key test.o.pw.key
tls-auth ta.key 1
reneg-sec 3600

mode client
remote XX.XX.XX 443
resolv-retry infinite
Mitglied: Pedant
Pedant 25.03.2017 um 15:32:53 Uhr
Goto Top
Hallo fuddel18,

dass Dein XX für eine maskierte IP steht war klar.
Ich hatte nur bemerkt und erwähnt, dass bei mir dort keine IP und kein Port ausgegeben wird.
Bei mir laufen Server und Client allerdings unter Windows. Vielleicht macht das den Unterschied.

Gerade habe ich es mit der Version 2.4.1 auf einem Windows-Rechner versucht.
Zu dem Test habe ich die Einstellungszeilen aus dem verlinkten Artikel verwenden.
Auch damit bleibt diese Ausgabe erhalten:
...Control Channel: TLSv1.2, cipher TLSv1/SSLv3...

Ich kann leider nicht behaupten, dass ich den ganzen Kram verstehen würde und fundiert Testen könnte. Ich bin letztendlich immer nur froh wenn es läuft.
Für weitere Hilfe auf dem Weg zu TLSv1.2/SSLv3 muss ich leider passen.

Ich könnte mir auch durchaus vorstellen, dass die Meldung TLSv1/SSLv3 einfach nur ein "alter" Text ist und sie nichts weiter bedeutet.
Das ist aber reine Spekulation.

Gruß Frank

PS: Den Test habe ich mit dh2048.pem durchgeführt.
Das Erzeugen von dh2048.pem dauerte wenige Sekunden.
Das Erzeugen von dh4096.pem hatte ich zuvor angestoßen, das läuft aber noch und schon seit zirka 2½h.
Mitglied: 121851
121851 26.03.2017 um 04:05:37 Uhr
Goto Top
Hallo Frank,

dass Dein XX für eine maskierte IP steht war klar.

Ups, dann habe ich das falsch verstanden. Sorry.

Ich könnte mir auch durchaus vorstellen, dass die Meldung TLSv1/SSLv3 einfach nur ein >"alter" Text ist und sie nichts weiter bedeutet.
Das ist aber reine Spekulation.

Das dürfte nicht sein aber, kann ja immer vorkommen. Ist ja schon Menschen erstellt worden und die machen auch Fehler.
Wenn ich mich richtig erinnere gab es in der einer Version Probeme mit TLS aber, die sollten mit der 2.3.10 gefixt sein. TLS1/SSL 3 ist halt nicht mehr so sicher deswegen sollte man es nicht verwenden. Hoffe vielleicht kann noch jemand aus dem Forum was dazu sagen.

PS: Den Test habe ich mit dh2048.pem durchgeführt.
Das Erzeugen von dh2048.pem dauerte wenige Sekunden.
Das Erzeugen von dh4096.pem hatte ich zuvor angestoßen, das läuft aber noch und schon seit zirka 2½h.

Das hat glaube ich bei mir auf dem Server ca. 10 Minuten gedauert.

Gruß Stefan